西南某民营银行:研发提质增效,打造领先数字化民营银行

2023-08-28 09:45

西南某民营银行,是中西部早期获批开业的民营银行之一,始终坚持“科技立行”理念,不断加大金融科技创新投入,全力推动金融科技赋能,提升金融服务质效,相继推出了针对小微企业信贷、农户信贷、数字支付等多款特色数字金融业务。


传统检测工具能力不足DevOps流水线待升级

在多年的数字化建设中,该银行已经构建比较完善的DevOps流⽔线,通过自动化工具和流程,帮助银行加快应用交付的速度。随着金融体系对数字业务安全要求越来越高,银行DevOps流水线面临一些安全能力问题:


1. 漏洞的误报漏报,应用易“带病上线”。原有DevOps流水线中,虽然使用传统应用安全检测工具,但其规则集有限且无法充分理解复杂逻辑与代码上下文信息,导致检测出现漏洞误报或漏报的情况,使得应用容易“带病上线”。


2. 检测速度慢,严重影响研发效率。基于SAST安全检测工具,对源代码进行扫描分析,虽然检测覆盖度高,但从检测到反馈再到问题修复,需要消耗大量时间,严重影响研发效率。


3. 集成难度大,无法真正实现敏捷交付。原有的SAST工具应用于代码编写阶段,DAST工具应用于安全测试阶段,但限于的工作原理,在自动化流程上无法适应高效敏捷的交付要求,使得产品研发周期延长。



VulHunter深入集成DevOps流水线研发体系提质增效

该银行使用开源网安灰盒安全测试平台(VulHunter)与DevOps流水线进行深度集成,推动应用安全检测效率提高,使DevOps流水线既有安全能力的提升,又满足敏捷交付的要求。


1. 高精确高覆盖,漏洞“一网打尽”。网安灰盒安全测试平台可自动检测运行时的应用中真实漏洞,并且根据在应用的执行效果上进行扫描检测,借助实时片段的上下文分析,避免了因缺乏上下文信息而产生漏洞误报和漏报的现象。


2. 检测速度快,结果实时反馈开源网安灰盒安全测试平台在运行应用的过程中持续进行安全测试,同时可进行检测实时反馈,让研发人员及早发现并修复问题。


3. 易与DevOps集成,实现敏捷交付。网安灰盒安全测试平台可以无缝地集成到DevOps流水线中,根据配置可在应用构建过程中自动进行安全检测,提升了开发效率,保证了DevOps流水线的连续性。


该银行通过VulHunter在应用开发阶段的早期发现安全问题,减少潜在的安全风险,在应用部署到生产环境之前进行快速修复,并且超高的自动化程度可深度集成适配DevOps流水线,提升了安全检测的效率,缩短了应用研发周期,大幅提升了银行的研发质效,从而进一步推动其数字金融业务的高质量发展。


近年来,该银行在经营管理和业务发展中,积极打造企业级数字化平台,不断探索金融科技的赋能创新。同样,开源网安也将持续为金融客户提供研发安全解决方案,助力金融客户在“数字化+智能化”道路上更高效、更安全地创新发展。